1 votes

Paramananda avatar

Combien d'adresses IP puis-je espérer bloquer sur un pare-feu de la série Cisco 5500-X ?

Demandé el 5 de Février, 2014
Quand la question a-t-elle été
551 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous envisageons l'installation d'un pare-feu Cisco ASA (5500-X) à la périphérie de notre réseau Internet, devant notre cluster Web.

Pour l'instant, nous utilisons une boîte Linux avec iptables. Un système d'analyse des journaux détecte les attaques par force brute sur les blogs WordPress, le spam sur les forums, les tentatives de piratage, et bien d'autres choses encore. Toute activité illicite entraîne un blocage de courte durée de l'adresse IP incriminée.

La liste des IPs bloquées, cependant, est d'environ 30 000 adresses IPv4. Pouvons-nous les charger dans un Cisco 5500-X à l'aide d'une API ou d'un outil similaire, et combien d'adresses IP et de règles peut-il gérer ?

Nous utilisons actuellement ipset (une table de hachage) pour gérer le grand nombre de blocs IP.

Gracias.

Demandé el 5 de Février, 2014 par Paramananda

Réponse

Trop de publicités?

1voto

scott_fakename avatar
scott_fakename Points 181

Vous trouverez ci-dessous un fil de discussion de l'unité commerciale ASA. Il s'agit d'un ASA 5520 (512 Mo de RAM seulement) qui gère 300 000 ACE (expressions de contrôle d'accès, par exemple les lignes d'une liste de contrôle d'accès).

https://supportforums.cisco.com/thread/2064748

En bref, même un ancien ASA non X-series comme le 5520 peut gérer 300 000 refus sur une ligne - donc gérer 10% de ce chiffre ne devrait pas être un problème.

Répondu el 6 de Février, 2014 par scott_fakename (181 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X